コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由:特集:継続的に儲けるための「セキュリティバイデザイン」入門(2)
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。
日本でもクラウドの普及率は高まってきたが、米国をはじめとする海外はさらに先を行く状況だ。多くの企業が当たり前のようにクラウドサービスを利用し、自社ビジネスのデジタル化に取り組んでいる。
だが、利用者が増え、動く価値が増えれば必ず付いてくるのがサイバー攻撃だ。例えば、2019年7月に発生したCapital Oneの情報漏えい事件では、同社がAmazon Web Services(AWS)上に構築していたWeb Application Firewall(WAF)の設定ミスが原因となって認証情報が盗まれ、Amazon S3上に保存されていた1億件を超える個人情報が漏えいする結果となった。
こうした背景を踏まえてか、Gartnerが2019年9月にまとめた「今後企業が取り組むべきセキュリティプロジェクトのトップ10」では、「特権アクセス管理(PAM)」「クラウドアクセスセキュリティブローカー(CASB)」「クラウドセキュリティの状態管理(CSPM:Cloud Security Posture Management)」、そして「コンテナセキュリティ」といった具合に、半分近くがクラウドやサーバレス環境のセキュリティに関するアジェンダとなっている。
クラウド関連のセキュリティ事故、ほとんどは設定ミスに起因
Check Point Software Technologies(以下、Check Point)が2020年1月にタイのバンコクで開催したイベント「CPX360 2020」では、「クラウド環境、さらにはコンテナやサーバレスといった新しいワークロードをどのように保護するか」がテーマの一つとなった。
Check Pointが買収したDome9 Securityの共同創業者で、今はCheck PointのクラウドプロダクトラインのHeadを務めるZohar Alon氏によると、今や企業の95%が何らかのクラウドサービスを利用しているが、その多くが簡単に侵害を受ける状況だという。Alon氏は、Gartnerによる「2025年までに起きるクラウド関連のセキュリティ事故の99%は、設定ミスに起因するだろう」という予測を引き合いに出し、「こうしたミスを減らすべく手助けすることが、セキュリティベンダーの役割になる」とした。
まず、マルチクラウド対応を前提に取り組む必要があるという。「2019年にはマルチクラウドが当たり前となり、企業の62%がマルチクラウドを利用している。これが現実であり、この傾向は今後も続くだろう」(Alon氏)
もう一つ注目すべきは、コンテナやサーバレスといった、さらに新しい環境への対応だ。「2019年には企業の57%がコンテナを利用しており、36%はFaaS(Function as a Service)を活用している。この結果、複雑さは増している」とAlon氏は述べた。Check Pointでは、CSPMやコンテナランタイム保護といった機能を提供することで、こうしたニーズに応えていくという。
このときに大切なのは「開発者に優しいセキュリティ」だ。例えば、開発者自身がセルフサービスの形で組み入れるなど、CI/CD(継続的インテグレーション/継続的デリバリー)パイプラインやDevOpsのサイクルの中にセキュリティを組み入れて回し、自動的にセキュリティ機能を実装し、ルールに沿った設定を施し、必要に応じて自動的に修復できる――そんな「開発者にとって痛みの少ないセキュリティが求められる」とAlon氏は強調した。
「それダメ、ちょっと待って」と言う代わりにセキュリティ担当者ができること
やはりCheck Pointが2019年12月に買収を表明したPretegoのCEOで、Check PointのHead of Cloud Go To Marketを務めるTsion Gonen氏も、最近の開発トレンドを踏まえて、これから求められるセキュリティの在り方について述べた。
「DevOpsとはすなわち、自動化し、より素早く開発してリリースするための方法だ。CI/CDもマイクロサービスもアプリケーションデリバリーの自動化も、物事を素早く進め、迅速にスケールアウトさせるためのものだ。それが開発者のマインドだ」(Gonen氏)
一方、セキュリティ担当者のマインドセットはどうだろうか。開発者が「明日にはあれをローンチして、その翌日には別の新バージョンをロールアウトさせたい。もっと効率良く開発するために、あのAPIやこのオープンソースソフトウェアを使いたい」とさまざまな要望を出してきても、「それ、ちょっと待って」と押しとどめる側に立ちがちだ。
もちろん、リスクに目をつぶって何でもかんでも許可することはあり得ない。やりたいようにやらせて大きなリスクを見逃しては、情報漏えいなどにつながる恐れがある。かといって「あれもダメ、これもダメ」ではビジネスのスピードが鈍ってしまう。
「こうしたやり方を続けていてもうまくいかない。開発者に『イエス』というための方法を見つける必要がある」(Gonen氏)
具体的な方法としてGonen氏は、まず「開発者の視点、開発者のやり方をセキュリティ担当者の視点から理解し、『開発者の皆さんを手伝いたい』ということを伝えて信頼関係を築くこと」を挙げた。そして、開発者がスピードを出しながらも安全に開発できるような「舗装路」や「ガードレール」を用意することが必要だとした。
「シフトレフトでできる限り早く試し、できる限り早く失敗する(Fail Fast)。そのために、セキュリティ設定が自動的に行われ、開発者がより早く進んでいける『道路』を用意し、どうぞ好きなように使ってほしいと提供することがセキュリティ担当者の役割になる」(Gonen氏)
ただ、信頼関係を築くこと、イコール、性善説に任せて何でもやらせることではない。ここで求められるのが「ゼロトラスト」の考え方だ。
「CSPMや修復、マイクロセグメンテーションといったセキュリティ機能が開発プロセスの中で自動的に付加され、そのままオーケストレーションされるような仕組みを通して、自動的にゼロトラストを適用していくことが必要だ」とGonen氏。例えば、開発/ビルド環境はトラストゾーンとして扱いつつ、本番環境はゼロトラストで運用するアプローチもあり得るという。
クラウドネイティブなセキュリティ対策の在り方
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
何が違う? 何が必要? マイクロサービス/サーバレス時代のセキュリティ
従来のモノリシックなアーキテクチャに代わって着目されている「マイクロサービス」や「サーバレス」。これらの新しいアーキテクチャについて、セキュリティの観点からどのようなことに留意すべきなのだろうか。
リクルートテクノロジーズ竹迫良範氏が講演、IoT時代に求められる、セキュリティも含めた品質保証の取り組みとは
@ITは2019年11月19日、「@IT ソフトウェア品質向上セミナー 2019 冬〜不確実性が高まるDX時代のソフトウェアテスト/品質保証はどうあるべきか」を開催した。本稿では、リクルートテクノロジーズ 執行役員の竹迫良範氏の特別講演「IoTプロダクトの品質とセキュリティテスト、未知の脅威に対応する開発体制とは」の模様を要約してお伝えする。
国防総省がKubernetesとIstioでDevSecOps基盤を構築、「ウォーターフォール文化を変える」
2019年11月にCloud Native Computing Foundation(CNCF)が米サンディエゴで開催したイベント「KubeCon+CloudNativeCon North America 2019」では、米国防総省がKubernetesの広範な採用を進めていることを明らかにした。